Вопросы совету директоров после раскрытия программ слежки

После того как стало известно о программе PRISM, большинство технических директоров и специалистов по безопасности уже провели внутренние обсуждения. Многие компании пересматривают свои облачные конфигурации, смотрят на соглашения с провайдерами, оценивают юрисдикционные риски.

Но есть разрыв, который я вижу снова и снова: совет директоров и высшее руководство компании в этих разговорах не участвуют. Тема остаётся в IT. А между тем это вопрос не только технический - это вопрос о зонах ответственности, о рисках для бизнеса, о правовых обязательствах перед клиентами и партнёрами.

Если вы входите в совет директоров или являетесь генеральным директором, вот вопросы, которые стоит задать прямо сейчас.

Что именно мы храним и где

Первый вопрос - базовый. Какие данные компании, клиентов, партнёров находятся в облаке? На серверах каких провайдеров? В каких странах физически расположено оборудование?

Этот вопрос удивительно часто не имеет точного ответа даже в крупных компаниях. Данные "в облаке" - это не ответ. Нужна конкретика: какой провайдер, какой регион, какая классификация данных.

Без этого ответа невозможно оценить ни юрисдикционный риск, ни риск несоответствия регуляторным требованиям.

Что написано в контракте о доступе третьих сторон

Большинство компаний читают SLA в части доступности и резервного копирования. Гораздо реже - раздел о том, что происходит, когда к провайдеру приходит запрос от государственных органов.

Конкретные вопросы:

• Обязан ли провайдер уведомить нас о таком запросе? Или законодательство страны регистрации запрещает ему это делать?
• Какие данные провайдер технически может передать по такому запросу?
• Есть ли в договоре оговорка о применимом праве - и выгодна ли она нам?

Ответы могут неприятно удивить. Но лучше узнать их сейчас.

Как устроен журнал доступа к нашим данным

Если к данным компании получил доступ кто-то посторонний - узнаем ли мы об этом? Через сколько времени? Из какого источника?

Большинство облачных провайдеров ведут журналы доступа. Но настроены ли они таким образом, что ваша команда безопасности получает уведомление при нестандартных паттернах? Есть ли у вас возможность самостоятельно проверить, кто и когда обращался к данным?

Журналирование - это не только про безопасность от внешних угроз. Это про возможность расследования инцидента задним числом.

Каков план при недоступности провайдера

Это вопрос, который не связан напрямую с PRISM, но история с программами слежки хорошо иллюстрирует более широкий принцип: критическая зависимость от одного внешнего сервиса - это риск.

Провайдер может быть недоступен по техническим причинам. Может оказаться под санкциями. Может получить требование от регулятора, которое изменит условия работы. Что происходит с бизнесом в каждом из этих сценариев?

Не нужно иметь готовый ответ на каждый сценарий. Нужно знать, что думать об этом начали.

Какие обязательства у нас есть перед клиентами

Если компания хранит данные клиентов - физических лиц или компаний - она несёт перед ними ответственность. В ряде юрисдикций эта ответственность закреплена законодательно. В других она следует из договора или из обоснованных ожиданий клиента.

Вопрос: если выяснится, что к данным клиентов был получен несанкционированный доступ через механизмы, о которых мы не знали, - что мы обязаны сделать? Уведомить клиентов? Регулятора? В какие сроки?

Это не гипотетика. В ряде стран уже действует обязательство об уведомлении, и его нарушение стоит дороже, чем сам инцидент.

Один практический шаг

Если после прочтения этих вопросов нет уверенности в ответах - правильное следующее действие не паника и не немедленная реструктуризация IT-инфраструктуры.

Правильное следующее действие - поставить в повестку совета встречу с техническим директором и директором по безопасности, на которой получить письменные ответы на эти пять вопросов. Не устные заверения, а ответы с конкретными ссылками на документы и конфигурации.

Это займёт несколько часов. Но именно это - работа совета директоров.